Kompanija je objavila zakrpe za ukupno 173 CVE ranjivosti, među kojima se nalazi pet kritičnih bezbjednosnih propusta.
Microsoft je u utorak objavio da je u okviru oktobarskog „Patch Tuesday“ ciklusa objavio zakrpe za 173 jedinstvene ranjivosti (CVE) u svojim proizvodima, uključujući dvije koje su već bile eksploatisane u stvarnim napadima. Pored toga, objavljene su i zakrpe za 21 ranjivost koja se odnosi na softver trećih strana.
Prva ranjivost koja je aktivno iskorišćena, označena kao CVE-2025-24990 (CVSS ocjena 7.8), opisuje se kao greška u dereferenciranju nepouzdanog pokazivača (untrusted pointer dereference), koja može biti iskorišćena za eskalaciju privilegija.
Ovaj bezbjednosni propust pogađa Agere Modem drajver koji dolazi uz podržane verzije Windows operativnih sistema i mogao bi omogućiti hakerima da dobiju administratorske privilegije na ranjivom uređaju.
Microsoft je u okviru oktobarskog kumulativnog ažuriranja za Windows uklonio ranjivi fajl ltmdm64.sys, koji je takođe pogođen ranjivošću CVE-2025-24052 — propustom koji omogućava eskalaciju privilegija, za koji već postoji proof-of-concept (PoC) eksploatacija.
Druga aktivno eksploatisana ranjivost, CVE-2025-59230 (CVSS ocjena 7.8), odnosi se na nepravilnu kontrolu pristupa u Windows komponenti Remote Access Connection Manager, koja napadaču može omogućiti dobijanje SYSTEM privilegija.
„Napadač koji uspješno iskoristi ovu ranjivost mogao bi dobiti SYSTEM privilegije“, navodi Microsoft, ne otkrivajući više detalja o zabilježenim napadima.
Od ukupno 173 Microsoft-ove ranjivosti zakrpljene u oktobarskom izvještaju, pet ih je klasifikovano kao kritične, dok kompanija upozorava da bi oko desetak moglo biti eksploatisano u napadima u narednom periodu.
Od ukupno 21 ranjivosti koje se ne odnose na Microsoftove proizvode, najmanje jedna je već iskorišćena u napadima. Riječ je o propustu označenom kao CVE-2025-47827, koji pogađa operativni sistem IGEL OS i omogućava napadačima da zaobiđu Secure Boot zaštitu.
Propust se nalazi u modulu igel-flash-driver, koji nepravilno provjerava kriptografski potpis, čime napadači mogu montirati izmijenjeni root filesystem iz neprovjerene SquashFS slike.
Američka agencija za sajber bezbjednost CISA dodala je sve tri aktivno eksploatisane ranjivosti na svoju KEV listu (Known Exploited Vulnerabilities), pozivajući federalne agencije da ih zakrpe u roku od tri nedjelje, u skladu sa direktivom BOD 22-01.
Još jedna ranjivost vrijedna pažnje je CVE-2025-2884, srednje ozbiljna greška out-of-bounds read u Trusted Platform Module (TPM) 2.0 referentnoj biblioteci, koju održava Trusted Computing Group (TCG).
Microsoft je u svom izvještaju takođe uključio CVE-2025-0033, poznat kao RMPocalypse, trku stanja (race condition) koja može narušiti garancije povjerljivog računanja na AMD procesorima, kao i CVE-2025-59489, ranjivost u Unity alatu za igre i aplikacije koja može omogućiti izvršavanje koda.
Izvor: SecurityWeek